SCSA第一天总结
程序员文章站
2022-04-04 09:47:24
...
1.信息安全现状及挑战
网络空间安全市场在中国,潜力无穷。
数字化时代威胁升级:攻击频发(勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势)
传统安全防护逐步失效:传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤(变种僵/木/蠕、U盘带入、恶意的内部用户、BYOD带入、零日漏洞、APT攻击)
安全风险能见度不足:
【1】看不清资产:看不清的新增资产产生安全洼地、缺乏有效手段主动识别新增业务、攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网
【2】看不见新型威胁:水坑攻击、鱼叉邮件攻击、零日漏洞攻击、其他攻击
【3】看不见内网潜藏风险:黑客内部潜伏后预留的后门、伪装合法用户的违规操作行为、封装在正常协议中的异常数据外发、看不见的内部人员违规操作
缺乏自动化防御手段
网络安全监管标准愈发严苛
2.信息安全概述
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
网络安全:计算机网络环境下的信息安全。
常见的网络安全术语:
3.协议栈常见攻击
常见安全风险:
网络的基本攻击模式:
物理层----物理攻击:
物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听
光纤监听
红外监听
自然灾害:
常见场景:高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。
典型案例:
2010年澳大利亚的Datacom网络中心,当时的大暴雨将Datacom主机代管中心的天花板冲毁,使得服务器、存储和网络设备都遭损坏。
2008年3月19日,美国威斯康辛数据中心被火烧得一塌糊涂,该数据中心耗时十天才得以完全恢复过来,足以说明该数据中心在当时并没有完备的备份计划。
2011年3月11日,日本遭受了9级大地震,在此次地震中,日本东京的IBM数据中心受损严重。
2016年,受*地区附近海域地震影响,中国电信使用的FNAL海底光缆阻断。
常见处理办法:建设异地灾备数据中心。
链路层----MAC洪泛攻击
交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;
泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。
链路层----ARP欺骗
网络层----ICMP攻击
传输层----TCP SYN Flood攻击
分布式拒绝攻击(DDOS)
DDOS攻击风险防护方案
应用层----DNS欺骗攻击
4.操作系统漏洞攻击
操作系统自身漏洞:
人为原因
在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
客观原因
受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
硬件原因
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
缓冲区溢出攻击:
缓冲区溢出攻击过程及防御:
5.终端攻击
勒索病毒:
定义:
一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。
特点:
调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。
危害:
勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。
特点:
针对攻击者:传播入口多、传播技术隐蔽、勒索产业化发展
针对受害者:安全状况看不清、安全设备防不住、问题处置不及时
挖矿病毒:
定义:
一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用。
特点:
占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。
危害:
占用系统资源、影响系统正常使用。
特洛伊木马:
定义:
完整的木马程序一般由两个部份组成:服务器程序与控制器程序。
“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。
特点:
注入正常程序中,当用户执行正常程序时,启动自身。
自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。
危害:
个人隐私数据泄露,占用系统资源
蠕虫病毒:
定义:
蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
特点:
不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。
危害:
拒绝服务、隐私信息丢失
宏病毒:
定义:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
特点:
感染文档、传播速度极快、病毒制作周期短、多平台交叉感染
危害:
感染了宏病毒的文档不能正常打印。
封闭或改变文件存储路径,将文件改名。
非法复制文件,封闭有关菜单,文件无法正常编辑。
调用系统命令,造成系统破坏。
流氓软件/间谍软件
定义:
流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行, 侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。
间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。
特点:
强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。
危害:
窃取隐私,影响用户使用体验
僵尸网络:
定义:
采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
僵尸程序:指实现恶意控制功能的程序代码;
控制服务器:指控制和通信(C&C)的中心服务器
特点:
可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来,可以一对多地执行相同的恶意行为。
危害:
拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿
终端安全防护措施:
【1】不要点击来源不明的邮件附件,不从不明网站下载软件
【2】及时给主机打补丁,修复相应的高危漏洞
【3】对重要的数据文件定期进行非本地备份
【4】尽量关闭不必要的文件共享权限以及关闭不必要的端口
【5】RDP远程服务器等连接尽量使用强密码,不要使用弱密码
【6】安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
6.其他常见攻击:
社工攻击:
原理:
社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
防御手段:
定期更换各种系统账号密码,使用高强度密码等。
人为因素:
无意的行为
工作失误——如按错按钮;
经验问题——不是每个人都能成为系统管理员,因此并不了解贸然运行一个不知作用的程序时会怎么样;
*不健全——当好心把自己的账号告诉朋友时,你却无法了解他会如何使用这一礼物;
恶意的行为
出于政治的、经济的、商业的、或者个人的目的
病毒及破坏性程序、网络黑客
在Internet上大量公开的攻击手段和攻击程序
防范措施:
1.提升安全意识,定期对非IT人员进行安全意识培训和业务培训;
2.设置足够强的授权和信任方式,完善最低权限访问模式;
3.组织需要完善和落地管理措施,保障安全管理制度是实际存在的;
4.善于利用已有的安全手段对核心资产进行安全保护等
拖库、洗库、装库
原理:
拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。
洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。
防御手段:
重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。
跳板攻击:
原理:
攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动。
跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。
防御手段:
安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制。
钓鱼式攻击/鱼叉式钓鱼攻击:
原理:
钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。
防御手段:
保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。
水坑攻击:
原理:
攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的。
防御手段:
在浏览器或其他软件上,通常会通过零日漏洞感染网站。
针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。
如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。
7.信息安全的五要素
保密性:
保密性:确保信息不暴露给未授权的实体或进程。
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
完整性:
只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。
可用性:
得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断。
可控性:
可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复**,实现对网络资源及信息的可控性。
不可否认性:
不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
案例:
8.VPN
VPN定义(Vitual Private Network,虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网。
虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源建立自己的私有网络。
专用:用户可以定制最符合自身需求的网络。
核心技术:隧道技术
按业务分类:
【1】Client-LAN VPN (Acceess VPN)
【2】LAN-LAN VPN
按网络层次分类:
9.VPN 常用技术
【1】隧道技术
隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道技术: 是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。
多种隧道技术比较:
【2】加解密技术:
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
通常使用加密机制来保护信息的保密性,防止信息泄密。信息的加密机制通常是建立在密码学的基础上。
主流加密算法分类:对称加密算法、非对称加密算法(公钥加密算法)
常见的对称加密算法:
对称加密的缺陷:
【1】**传输风险
【2】**多难管理
非对称加密算法:
加密和解密使用的是不同的**(公钥、私钥),两个**之间存在着相互依存关系:用其中任一个**加密的信息只能用另一个**进行解密:
即用公钥加密,用私钥解密就可以得到明文;
这使得通信双方无需事先交换**就可进行保密通信。
非对称加密过程:
常见的非对称加密算法:
对称加密与非对称加密比较:
【3】身份认证技术:
身份认证:通过标识和鉴别用户的身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:是在网络中确认操作者身份的过程而产生的有效解决方法。
PKL体系:
PKI(公开**体系,Public Key Infrastructure)是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
PKI 技术采用证书管理公钥,通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
PKL体系组成:
PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。
CA中心:
CA中心,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方。
CA中心的作用:签发证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书,以及对证书和**进行管理。
CA中心为每个使用公开**的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。
CA中心的数字签名使得攻击者不能伪造和篡改证书。
数字证书是一般包含:用户身份信息、用户公钥信息、身份验证机构数字签名的数据
从证书用途来看,数字证书可分为签名证书和加密证书。
签名证书:主要用于对用户信息进行签名,以保证信息的真实性和不可否认性。
加密证书:主要用于对用户传送的信息进行加密,以保证信息的机密性和完整性。
常见的证书类型:数字证书、根证书、用户证书、设备证书